سلسلة التغريدات | #ثريد_اليوم في #أمن_المعلومات
راح أتحدث عن مصطلح Non repudiation وبالعربي يعني [عدم الإنكار/الجحود] راح اتحدث عن تعريفة وكيف يتم التطبيق الأمثل له مع أمثلة وتبسيط يسهل للمتلقي المعلومة 👍🏼
#m7md_sec
راح أتحدث عن مصطلح Non repudiation وبالعربي يعني [عدم الإنكار/الجحود] راح اتحدث عن تعريفة وكيف يتم التطبيق الأمثل له مع أمثلة وتبسيط يسهل للمتلقي المعلومة 👍🏼
#m7md_sec
في البداية قبل لا أبدأ أحب أوضح للي وصل لحسابي لأول مره، الحساب تعليمي وارشادي واستشاري في #تقنية_المعلومات وادارة مشاريعها بشكل عام،
يفيد المختصين والطلاب، لذلك أتمنى منكم النشر والمتابعة وتفعيل التنبيهات ليصلكم الجديد أولاً بأول.
في المفضلة جميع الأرشيف 👍🏼
يفيد المختصين والطلاب، لذلك أتمنى منكم النشر والمتابعة وتفعيل التنبيهات ليصلكم الجديد أولاً بأول.
في المفضلة جميع الأرشيف 👍🏼
مقدمة:
في أمن المعلومات لابد من التأكد من أن البيانات التي يتم جمعها موثوق بها أو غير زائفة و لم يتم التلاعب بها أو تعديلها، هذا الأمر يتعلق بسلامة البيانات [Integrity] و التأكد من موثوقية البيانات [Authenticity] تعنى بشكل أدق بالتأكد بأن المعلومات أُنشأت من المصدر التي تدّعيه.
في أمن المعلومات لابد من التأكد من أن البيانات التي يتم جمعها موثوق بها أو غير زائفة و لم يتم التلاعب بها أو تعديلها، هذا الأمر يتعلق بسلامة البيانات [Integrity] و التأكد من موثوقية البيانات [Authenticity] تعنى بشكل أدق بالتأكد بأن المعلومات أُنشأت من المصدر التي تدّعيه.
عندما تكون البيانات موثوقة فإن مُستَقبِلها يستطيع الوثوق بأنه لم يتم التلاعب بها سواء عند عند نقلها [In-Transit] أو عند تخزينها.
ومن هنا أتى مصطلح Non repudiation [عدم الانكار/الجحود] لضمان بأن النشاط أو الحدث الذي تمّ لا يمكن للمتسبب انكار حدوثه، وتشمل: انكار ارسال رسالة ما، انكار عمل نشاط ما، انكار التسبب بأمر ما...الخ وذلك لضمان سلامة وموثوقية البيانات. ويتم فرض المسؤولية [Accountability] على المتسبب.
![ومن هنا أتى مصطلح Non repudiation [عدم الانكار/الجحود] لضمان بأن النشاط أو الحدث الذي تمّ لا يمكن لل...](https://pbs.twimg.com/media/E7E-xbcXIAs-PFX.jpg)
وهذا يعني بأن بيئات العمل التي لا تطبق مفهوم Non repudiation في بياناتها قد تعاني من سلامة وموثوقية بياناتها.
يمكن تطبيق مفهوم Non repudiation عن طريق استخدام عدة تقنيات ومنها: الشهادات الرقمية [Digital Certificate] وغيرها من أنظمة التحكم بالوصول [Access Control mechanisms]
يمكن تطبيق مفهوم Non repudiation عن طريق استخدام عدة تقنيات ومنها: الشهادات الرقمية [Digital Certificate] وغيرها من أنظمة التحكم بالوصول [Access Control mechanisms]
حتى يتم ضمان العمل بمفهوم Non repudiation لابد من تطبيق آلية مهمة وأساسية بأمن المعلومات وهي AAA حيث أنها تعني:
Identification - تعريف الهوية
Authentication - المصادقة
Authorization - الترخيص
Auditing - المراقبة
Accountability - المسؤولية
خلونا نتكلم عن كل واحد بشكل أكبر.
Identification - تعريف الهوية
Authentication - المصادقة
Authorization - الترخيص
Auditing - المراقبة
Accountability - المسؤولية
خلونا نتكلم عن كل واحد بشكل أكبر.
تعريف الهوية [Identification]
اثبات الهوية قد يتم بعدة طرق وهي الخطوة الأولى لتطبيق آلية AAA، ويشمل ذلك: كتابة اسم المستخدم، تمرير البطاقة الذكية، استخدام البصمة (العين، الاصباع، الصوت، الوجه)، بدون اثبات الهوية لا توجد طريقة أبداً للمصادقة والوصول للخدمة المرادة.
اثبات الهوية قد يتم بعدة طرق وهي الخطوة الأولى لتطبيق آلية AAA، ويشمل ذلك: كتابة اسم المستخدم، تمرير البطاقة الذكية، استخدام البصمة (العين، الاصباع، الصوت، الوجه)، بدون اثبات الهوية لا توجد طريقة أبداً للمصادقة والوصول للخدمة المرادة.
![تعريف الهوية [Identification]
اثبات الهوية قد يتم بعدة طرق وهي الخطوة الأولى لتطبيق آلية AAA، ويشمل...](https://pbs.twimg.com/media/E7E-zDeWEA0CQLu.jpg)
عندما يتم اثبات صاحب الهوية فأنه يصبح مسؤولًا [Accountable] عن أي حدث أو عمل يتم بهذه الهوية.
لذلك تجد مختصي أمن المعلومات يحذروا ويضعوا هذه النقطة كأهم خطوة للتعامل معها بحذر شديد.
لذلك تجد مختصي أمن المعلومات يحذروا ويضعوا هذه النقطة كأهم خطوة للتعامل معها بحذر شديد.
المصادقة [Authentication]
هي عملية يتم فيها اثبات بأن الهوية التي تمّ تقديمها للوصول للخدمة هي هوية صحيحة وغالباً ما يتم استخدام كلمة المرور [Password] لهذه العملية. حيث يتم مقارنتها مع قاعدة البيانات [Database] المخزنة مسبقاً.
هي عملية يتم فيها اثبات بأن الهوية التي تمّ تقديمها للوصول للخدمة هي هوية صحيحة وغالباً ما يتم استخدام كلمة المرور [Password] لهذه العملية. حيث يتم مقارنتها مع قاعدة البيانات [Database] المخزنة مسبقاً.
![المصادقة [Authentication]
هي عملية يتم فيها اثبات بأن الهوية التي تمّ تقديمها للوصول للخدمة هي هوية...](https://pbs.twimg.com/media/E7E-zxBXIAUfMA2.jpg)
غالباً ما يتم تقديم اثبات الهوية مع المصادقة معاً في خطوة واحدة [اسم المستخدم، كلمة المرور].
وقد يتوفر في النظام قابلية استخدام أكثر من تحقق أوحد وتسمى بالتحقق المتعدد [Multi Factor Authentication]
وقد يتوفر في النظام قابلية استخدام أكثر من تحقق أوحد وتسمى بالتحقق المتعدد [Multi Factor Authentication]
مثلاً: عند الدخول للحساب البنكي عن طريق اسم المستخدم [identity] وكلمة المرور [first authentication factor] يتم ارسال رقم PIN من النظام إلى رقم الجوال المسجل بقاعدة البيانات ليتم ادخاله من قبل صاحب الحساب كخطوة ثانية للتأكد من سلامة المصادقة.
![مثلاً: عند الدخول للحساب البنكي عن طريق اسم المستخدم [identity] وكلمة المرور [first authentication f...](https://pbs.twimg.com/media/E7E-0aRXEAMKPBK.jpg)
الترخيص [Authorization]
عندما يتم التحقق من الهوية ومصادقتها في النظام فإنه يتم اعطاء صلاحية الوصول للخدمات التي تمّ تعريفها مسبقاً لصاحب هذه الهوية ولا يتم اعطائه صلاحية الوصول لغير هذه الخدمات والبيانات.
عندما يتم التحقق من الهوية ومصادقتها في النظام فإنه يتم اعطاء صلاحية الوصول للخدمات التي تمّ تعريفها مسبقاً لصاحب هذه الهوية ولا يتم اعطائه صلاحية الوصول لغير هذه الخدمات والبيانات.
![الترخيص [Authorization]
عندما يتم التحقق من الهوية ومصادقتها في النظام فإنه يتم اعطاء صلاحية الوصول...](https://pbs.twimg.com/media/E7E-05DWYAQfsRJ.jpg)
مثلاً: عند الدخول لحسابك البنكي فأنت سوف تتمكن من مشاهدة حسابك البنكي و يمكنك اجراء بعض العمليات مثل تحويل المبالغ المالية او الاستعلام عن سجل التحويلات السابقة ..الخ، ولا يمكنك الاطلاع او عمل أي عملية على حساب صديقك مثلاً!
المراقبة [Auditing]
بكل بساطة تعني بأي أي عملية تقوم بها داخل النظام تكون مسجلة بشكل كامل وتفصيلي بإسم الهوية التي استخدمتها في الدخول على النظام وذلك لضمان اثبات المسؤولية على صاحب هذه الهوية.
بكل بساطة تعني بأي أي عملية تقوم بها داخل النظام تكون مسجلة بشكل كامل وتفصيلي بإسم الهوية التي استخدمتها في الدخول على النظام وذلك لضمان اثبات المسؤولية على صاحب هذه الهوية.
![المراقبة [Auditing]
بكل بساطة تعني بأي أي عملية تقوم بها داخل النظام تكون مسجلة بشكل كامل وتفصيلي بإ...](https://pbs.twimg.com/media/E7E-1jAWUAEaK0B.jpg)
عملية المتابعة لسجلات النظام يعتبر أمر هام في أي منشأة ولذلك وجد مركز المراقبة [SOC] Security Operations Center لمتابعة حتى محاولات الوصول الغير مصرح لحسابات تمّت مصادقتها أو حتى لمحاولات مصادقة فاشلة التي قد تعني محاولات اختراق.
المسؤولية [Accountability]
بكل بساطة لا يمكن اجبار تطبيق سياسات أمن المعلومات في أي منشأة الا بالامتثال للمسؤولية.
تزداد مسؤولية الشخص اعتمادًا على قوة تطبيق النقاط السابقة (الهوية، المصادقة، الترخيص، و المراقبة).
بكل بساطة لا يمكن اجبار تطبيق سياسات أمن المعلومات في أي منشأة الا بالامتثال للمسؤولية.
تزداد مسؤولية الشخص اعتمادًا على قوة تطبيق النقاط السابقة (الهوية، المصادقة، الترخيص، و المراقبة).
![المسؤولية [Accountability]
بكل بساطة لا يمكن اجبار تطبيق سياسات أمن المعلومات في أي منشأة الا بالامت...](https://pbs.twimg.com/media/E7E-2QUXsAMvCww.jpg)
إلى هنا أصل معكم إلى نهاية هذا السرد،
شاكر لكم وقتكم الثمين ..
التقي بكم في ثريد قادم 👍🏼
شاكر لكم وقتكم الثمين ..
التقي بكم في ثريد قادم 👍🏼
جاري تحميل الاقتراحات...